Gå til innhold

Mengder av nettsteder må trolig skaffe seg nye sertifikater

Harald Brombach (digi.no)

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Bolson

Bolson

Skrevet
Skrevet

En ting er at dette er blåst helt ut av proposjoner og skaper et mye større problem enn utgangspunktet var. En annen ting er at dette er svært markedsvridende.

 

Kanskje der rotårsaken ligger. Google har kommet i en situasjon der de faktisk kan påvirke svært mange markeder etter sine interesser.

 

Har ikke så veldig mye til overs for Symantec - og en realitet er at de gjennom oppkjøpene av tidligere forholdsvis seriøse aktører har gitt disse mer frynsete rykte. Men det burde være mulig å håndtere dette på en langt mer smidig måte.

 

De som eventuelt må "skifte" dyre "sertifikater" kommer neppe til å være særlig blie på Google heller - men realiteten er at Google har snart samme posisjon som IE hadde, og "Don't be Evil" er det vel lenge siden Google glemte som slogan.

  • Liker 1
Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet (endret)

Slike sertifikater er i praksis lite verd siden en ikke kan stole på alle de som lager slike. Bruk DANE + DNSSEC, så kan en stole på sertifikater igjen.

 

Link til underholdende presentasjon om temaet:

 

 

Enig med han i stor grad. men Per nå støtter ingen store DANE, Jeg har selv en server som har DANE med crts fra Lets Encrypt funker knall selv om det krever addons til Chrome.

 

Jeg har også lagt opp et test domene med DNS CAA (Type 257), som er noe enklere enn DANE og noe jeg tror kommer mer støtte for fremover. 

 

Dette kombinert med HSTS og HPKP så kan man føle seg noe tryggere spesielt med HPKP 

Endret av -Night-
  • Liker 1
Lenke til kommentar
tommyb

tommyb

Skrevet
Skrevet

Det som i praksis skjer er ikke at folk får tillit til sertifikater, men at mange småbedrifter og små tjenester lar de gamle sertifikatene stå ut tiden likevel, og vanlige folk venner seg til advarsler på sertifikater. Det er forsvinnende få som faktisk vet hva det betyr.

Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet

Det som i praksis skjer er ikke at folk får tillit til sertifikater, men at mange småbedrifter og små tjenester lar de gamle sertifikatene stå ut tiden likevel, og vanlige folk venner seg til advarsler på sertifikater. Det er forsvinnende få som faktisk vet hva det betyr.

 

Derfor man tar i bruk HSTS; slik at man kan ikke "ignorere" feil, frks på mine siden er det ikke noe valg i chrome/ff/ie/edge om og forsette når crt er feil. 

  • Liker 1
Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet (endret)

Liker ikke denslags verdenspoliti, så jeg startet å re-route alle brukere til DuckDuckGo for en tid tilbake (liten DNS fix). Nå er det vel snart på tide å sende feilmeldinger i retur på alle innkommende eposter fra gmail kontoer.

Endret av Slettet-Pqy3rC
Lenke til kommentar
Gjest Slettet-OvFPdyiZ

Gjest Slettet-OvFPdyiZ

Skrevet
Skrevet

Liker ikke denslags verdenspoliti, så jeg startet å re-route alle brukere til DuckDuckGo for en tid tilbake (liten DNS fix). Nå er det vel snart på tide å sende feilmeldinger i retur på alle innkommende eposter fra gmail kontoer.

 

Og du ser ikke ironien i dette?

Du misliker noen som gjør valg på vegne av andre, så du gjør valg på vegne av andre?

 

Jeg hadde vært beint ut forbanna på en sysadmin som gjorde slikt. Sånne håpløse trekk som det der gjør at brukere heller går rundt systemet, og du får halvløsninger og skyggesystemer overalt.

Lenke til kommentar
Gjest Slettet-Pqy3rC

Gjest Slettet-Pqy3rC

Skrevet
Skrevet

Og du ser ikke ironien i dette?

Jepp. Jeg leker gud og tar en Google.

 

(Folk liker forøvrig anda på DuckDuckGo).

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...